Kodėl „DeFi“ nuolat praranda milijonus išnaudojimų

Tai buvo vieni prasčiausių metų istorijoje DeFi įsilaužimų, ir mes vos įpusėjome.

Per pirmuosius penkis 2026 m. mėnesius dėl DeFi įsilaužimų buvo prarasta daugiau nei 840 mln. USD – vien balandį pavogta daugiau nei 600 mln.

Nuostoliai tęsėsi ir gegužę, kai THORChain sustabdė prekybą po to, kai saugumo tyrėjai pažymėjo, kad įtariamas kryžminis išnaudojimas paveikė daugiau nei 10 mln.

„TrustedVolumes“, „Echo Protocol“, Step Finance, Tai bus tiesa, Resolv Labs, Volo protokolas, „Rhea“ finansai, True-Ethereum tiltasir daugelis kitų sudaro aukų sąrašą, kuris atrodo kaip kiekvienos pasitikėjimo prielaidos, kuria remiasi DeFi, testas nepalankiausiomis sąlygomis, remiantis DeFiLlama duomenimis.

Ekspertai Iššifruoti kalbėjo, kad iš esmės pritartų diagnozei, kad naujausi DeFi įsilaužimai atskleidžia struktūrinius tiltų ir administravimo sistemų trūkumus, o AI pažanga gali padėti užpuolikams greičiau rasti pažeidžiamumą.

Natalie Newson, Web3 saugumo platformos CertiK vyresnioji blokų grandinės tyrėja Iššifruoti kad nors balandis buvo neįprastai sunkus kriptovaliutų išnaudojimui, platesnė tendencija išlieka stabilesnė ir mažesnė už didžiausią incidentų skaičių 2023 m.

„2026 m. balandis buvo blogas mėnuo kriptovaliutų išnaudojimui; be išnaudojimo buvo tik trys dienos, per kurias buvo paimta mažiausiai 10 000 USD“, – sakė ji.

„Tačiau, pažvelgus į platesnį vaizdą, incidentų skaičius (išskyrus sukčiavimą) tikriausiai buvo gana pastovus ir vis dar mažesnis nei didžiausias 2023 m.“, – pažymėjo Newsonas ir pridūrė, kad balandžio mėnesio sunkumą lėmė 14 išnaudojimų, kurių nuostoliai viršijo 1 mln.

Šiaurės Korėjos faktorius

Ari Redbord, pasaulinis TRM Labs politikos ir vyriausybės reikalų vadovas Iššifruoti šuolis kilo iki vieno valstybės veikėjo, kuris per penkerius metus iš marginalaus žaidėjo tapo grėsmės apibrėžimu.

„Dominuojantis veiksnys yra Šiaurės Korėja, ir ta kampanija darosi vis aštresnė, o ne platesnė“, – sakė Redbordas ir pažymėjo, kad su Šiaurės Korėja susiję veikėjai per pirmuosius keturis 2026 m. mėnesius patyrė 76 % pasaulinių kriptovaliutų įsilaužimų nuostolių, o 2025 m. – 64 %, o 2020 m. – mažiau nei 10 %.

„Šiaurės Korėja naudoja ne tik technologijas, kad atakuotų erdvę, bet ir sudėtingą bei gerai suplanuotą socialinę inžineriją“, – sakė jis.

Iki šiol didžiausias per metus DeFi įsilaužimas KelpDAO pasiekė balandžio 18 d., kai užpuolikai iš kryžminio grandininio tilto išleido apie 116 500 rsETH, kurių vertė yra maždaug 292 mln.

LayerZero, kurios susirašinėjimo infrastruktūra buvo tilto pagrindas, naujausioje pomirtinėje ataskaitoje teigė, kad ataka prasidėjo kovo 6 d., kai buvo sukurtas socialinis kūrėjas ir buvo paimti seanso raktai.

Kryžminės grandinės pranešimų siuntimo protokole teigiama, kad „Mandiant“, „CrowdStrike“ ir nepriklausomi tyrėjai ataką priskyrė KLDR grėsmių veikėjui TraderTraitor, dar žinomam kaip UNC4899.

Redbord pridūrė, kad struktūrinė priežastis, dėl kurios „DeFi“ nuolat sugeria hitus, yra susijusi su pinigų padėtimi ir judėjimu.

„Dėl „DeFi“ kryžminės grandinės sudėtingumo tai yra daug tikslo – tiltai nuolat sukelia didžiausius nuostolius per vieną incidentą, o gedimų režimai kartojasi stulbinančiai nuosekliai, nes pagrindinė problema yra architektūrinė“, – pažymėjo jis.

Pasikartojantys modeliai

Raz Niv, „onchain“ saugos platformos „Blockaid“ įkūrėjas ir techninis vadovas Iššifruoti kad per didžiausius metų incidentus nuolat atsiranda trys techniniai modeliai: privilegijuotos prieigos kontrolės gedimai, kenkėjiški tarpinio serverio atnaujinimai, kai užpuolikai pakeičia įgyvendinimo sutartis į versijas su užpakalinėmis durimis, ir kelių grandinių pranešimų tikrinimo spragos.

Privilegijuotoje prieigoje „Niv“ teigė, kad įmonė stebi „anomalius „Role Granted“ įvykius ir neteisėtą privilegijų eskalavimą, o tokie incidentai kaip „Echo Protocol“ išnaudojimas atsekami iki pažeistų arba netinkamai sukonfigūruotų administratoriaus raktų.

„Užpuolikai arba socialiai konstruoja kelią prie privačių raktų, arba išnaudoja prastai suprojektuotus kelių signalų slenksčius“, – pridūrė jis.

Jis atkreipė dėmesį į gedimus, susijusius su privilegijuotu prieigos valdymu, kenkėjiškais tarpinio serverio atnaujinimais ir kryžminių grandinių tikrinimo sistemomis, sakydamas, kad pastarojo meto atakos atskleidžia gilesnes prielaidų, jungiančių vis sudėtingesnę infrastruktūrą, trūkumus.

„Bendras dalykas nėra sudėtingumas per se“, – sakė Nivas. „Kiekvienas abstrakcijos sluoksnis (įgaliotieji serveriai, administratoriaus vaidmenys, kelių grandinių pranešimų siuntimas) sukuria pasitikėjimo prielaidas, kurias užpuolikai metodiškai tikrina.

AI įtaka

Nivas teigė, kad dirbtinis intelektas vis labiau keičia išnaudojimo atradimą, tačiau perspėjo, kad jo poveikis dažnai yra neteisingai suprantamas.

Dabartiniai modeliai tampa vis veiksmingesni nustatant žinomus pažeidžiamumus dideliu mastu ir „automatizuoja tai, ką daro kvalifikuoti auditoriai“, – sakė jis, kartu perspėdamas, kad „tikrąjį rūpestį kelia ne dirbtinis intelektas, kuris pakeičia žmones užpuolikus“, o DI „užpuolikus sustiprina“ valdant žvalgybą ir leidžiant jiems sutelkti dėmesį į sudėtingesnius metodus.

„Geros naujienos yra tai, kad gynėjai gali naudoti tuos pačius įrankius. Stebėjimas ir modeliavimas su dirbtiniu intelektu tampa būtinas apsaugos komandoms, kurios stengiasi neatsilikti nuo žingsnio”, – pridūrė Nivas.

Kalbant apie „DeFi“ įsilaužimų antplūdį, Newsonas atkreipė dėmesį į panašią tendenciją, sakydamas, kad „vienas veiksnys, kuris greičiausiai prisideda, nors ir nėra vienintelis veiksnys, yra AI pažanga“.

Ji pridūrė, kad „CertiK“ pastebėjo, kad išnaudojamos senesnės ir nepatikrintos sutartys, todėl „logiška prielaida, kad AI padeda rasti pažeidžiamumą“.

Panašiai Redbordas teigė, kad „blogi veikėjai diegia dirbtinį intelektą dideliu mastu“ žvalgybos, socialinės inžinerijos ir išnaudojimo projektavimo srityse, pridedant atakų, pvz., „Drift“ rafinuotumo, „atitinka dirbtinio intelekto darbo eigą“.

TRM analitikai mano, kad Šiaurės Korėjos operatoriai vis dažniau įtraukia dirbtinio intelekto įrankius į savo veiklą, o jis sakė: „Atsakymas yra naudoti AI gynybai, o priešininkai taiko tą patį agresiją puolime.

Virš kodo

Redbordas teigė, kad „DeFi“ įsilaužimai yra „išsprendžiama problema“, tačiau teigė, kad pramonė turi būti sąžiningesnė dėl to, kur iš tikrųjų atsiranda gedimų.

Jis pažymėjo, kad „auditai apsaugo nuo kodo klaidų“, bet ne nuo sudėtingų socialinės inžinerijos kampanijų, tokių kaip „Drift“, kai Šiaurės Korėjos įgaliotieji atstovai, kaip pranešama, praleido mėnesius tobulindami prieigą prieš pažeidimą.

„Modelis, kuris veikia, yra viešojo ir privačiojo sektorių koordinavimas realiuoju laiku“, – pridūrė ekspertas.

Newsonas teigė, kad 2026 m. gali būti „evoliucinis lūžis“, sakydamas, kad pramonė mokosi, kad kibernetinis saugumas yra „visa problema“, apimanti „AI, KLDR arba infrastruktūrą ir personalą“.

„Nesvarbu, kokia tobula jūsų matematika grandinėje, jei jūsų žmogiškieji procesai už grandinės ribų yra pažeidžiami“, – sakė ji ir pažymėjo, kad pramonė vis labiau pereina prie „praktinių, struktūrinių sprendimų“, kad būtų galima spręsti infrastruktūros ir socialinės inžinerijos rizikas.

Užklupo pasitikėjimas

Žalą pasitikėjimui DeFi erdve sunku kiekybiškai įvertinti, bet lengva pastebėti.

Kelp DAO išnaudojimas sukėlė 6,2 milijardo JAV dolerių išėmimo bangą vien iš Aave, o Aave generalinio direktoriaus Stani Kulechovo vadovaujamos pagalbos pastangos, pramintas „DeFi United“, surinko 132 650 ETH, kurios vertė apytiksliai 303 mln.

Suderintas atsakas rodo, kad pramonė gali mobilizuotis. Tai taip pat parodo, kiek kapitalo reikia vienam tilto eksploatavimui.

Newsonas teigė, kad nuosmukis visiškai priklauso nuo to, kas nukentėjo.

„Patyrę pramonės veteranai pastarąsias šešias savaites gali laikyti lygiaverte kursui – tiesiog kita evoliucinė norma ir atšiauri patirtis, iš kurios reikia pasimokyti“, – sakė ji.

Ji pažymėjo, kad pasikartojančių išnaudojimų poveikis naujesniems rinkos dalyviams atrodo labai skirtingas, ir įspėjo, kad vartotojams, kurie praranda daug lėšų, iškritimas nėra „mokymosi patirtis“, o kelia „egzistencinių klausimų“ apie kriptovaliutų ilgalaikį „perspektyvumą ir saugumą“, o techniniai pataisymai dažnai pateikiami per vėlai, kad būtų panaikinta žala.